12.02.2007

Hacken für jedermann

Mit einem einfachen Programm können selbst Amateure fremde Festplatten ausspionieren - fast wie die Profis.
Es ist ein kleines Experiment mit einer simplen Fragestellung: Was lässt sich herausfinden über jemanden, von dem man nichts kennt außer dem Inhalt seiner Computerfestplatte? Wie viel Privates vertrauen die Menschen ihrem Rechner an, wie sorgfältig gehen sie mit ihren Daten um? Worauf also würden BKA-Beamte bei einer Online-Hausdurchsuchung stoßen?
Der Versuchsaufbau, vorgeführt von einem PC-Experten: ein handelsüblicher Rechner, ein DSL-Anschluss und ein kleines Programm, kostenlos heruntergeladen von einer niederländischen Webseite, installiert und gestartet.
Jetzt muss man etwa 30 Minuten warten.
Bei dem Programm handelt es sich nicht um ausgefeilte Schnüffelsoftware, echte Hacker würden darüber lachen, aber es lässt sich einfach bedienen, auch von Laien. Das Programm macht nichts anderes, als im Internet nach schlecht gesicherten Rechnern zu suchen. Und das funktioniert erschreckend gut.
Nach einer halben Stunde hat das Programm zwischen 30 und 50 Computer gefunden, die ohne Firewall und andere Vorsichtsmaßnahmen online im Netz stehen. Nun zeigt es in einem Fenster erste Details: Welche Bezeichnung der Besitzer seinem Rechner gegeben hat (Erstaunlich, wie viele PC "Wohnzimmer" heißen und wie viele Laptops "Läppi"). Es zeigt an, welche Teile der Festplatte und welche Ordner einsehbar sind (oft die Festplatte D, auf der die meisten Windows-Nutzer ihre Daten aufbewahren, häufiger noch den Ordner "Eigene Dateien").
Die fremden Rechner lassen sich bequem durchforsten, so als säße man vor dem eigenen. Und da die meisten Leute ihre Dateiordner säuberlich benennen, ist das Suchen nach Persönlichem auch gar nicht schwer. Da hat zum Beispiel jemand einen Ordner "Bewerbungen" angelegt, er sucht eine neue Stelle in der holzverarbeitenden Industrie. Natürlich stehen Name, Adresse und Telefonnummer auf den Dokumenten, da weiß man, wen man vor sich hat. Lebenslauf, Zeugnisse und Bewerbungsfoto liegen auch da.
Im Ordner "Rechnungen" finden sich Belege für die Karten vom Roger-Whittaker-Konzert, das lässt auf seinen Musikgeschmack schließen. In "Dokumente" bewahrt er den Schriftkram auf: Streit um die Nebenkostenabrechnung, Kündigung beim Provider, Briefe an den Scheidungsanwalt. Die Ordner "Programme" und "Filme" stecken voller geklautem Material, erkennbar an den typischen Dateinamen der Raubkopiererszene. In "XXX" liegen die gesammelten Pornobilder, in "Fotos" die Bilder von der Einschulung der Kinder oder der Party zum Vierzigsten und in "Fotos privat" die ganz privaten Bilder von der Ehefrau.
Mancher, der sich all seine verschiedenen Zugangscodes zu Ebay, zu Diskussionsforen oder E-Mail-Konten nicht merken kann, legt sich dafür einen eigenen Ordner an. Und nennt den brav: "Meine Passworte".
Rechner für Rechner geht das so, überall private Unterlagen. Mit etwas Geduld lassen sich die Besitzer der Daten quasi komplett durchleuchten.
Die Opfer kriegen davon nichts mit. Dabei ist die Sicherheitslücke, die das alles möglich macht, uralt: Bei Windows kann man Ordner oder ganze Festplatten freigeben, damit andere Rechner darauf zugreifen können. Gedacht ist das, um zum Beispiel die Musik vom Wohnzimmerrechner auf den Laptop zu überspielen oder umgekehrt. Bei unvorsichtigen Benutzern sind diese Freigaben aber nicht nur im eigenen privaten Netzwerk erreichbar, sondern vom gesamten Internet aus.
Die Lücke wäre leicht zu stopfen: Schon das Installieren des "Service Pack 2", einer kostenlosen Sicherheitssoftware von Microsoft, macht das Türchen für die Möchtegern-Hacker dicht.
Anders als richtige Hacker oder die Profis vom BKA können die Nutzer des niederländischen Programms nicht gezielt auf einen bestimmten Rechner zugreifen, das Laienprogramm sucht einfach wahllos im Internet nach anfälligen Rechnern.
Auch die Spezialisten vom BKA würden über Sicherheitslücken in fremde PC eindringen, allerdings über andere, weniger bekannte Wege. Auf diversen Sicherheitsseiten im Internet werden allwöchentlich neue Lücken bekannt: Manchmal lässt sich über präparierte Musikstücke ein Code auf fremde Rechner schmuggeln, mal gelten Bildbetrachtungsprograme als gefährdet, dann wieder sind Datenbankprogramme unsicher. Selbst in scheinbar harmlosen Word-Dokumenten können sich Schädlinge verbergen, manchmal ist sogar Anti-Viren-Software lückenhaft. Kaum jemand kann alle Sicherheitslöcher im Blick halten - und seinen Rechner sauber.
Unter Umständen reicht sogar der Besuch einer Webseite, um sich einen Trojaner einzufangen. Diese Miniprogramme laden dann weitere Programme nach, beispielsweise eine Software zum Fernsteuern des PC. Oder einen Keylogger, der alle Tastatureingaben unauffällig mitprotokolliert
und bei Gelegenheit zurücksendet.
Lücken dafür gibt es also genug, man muss das Opfer des Angriffs nur dazu bringen, in die Falle auch hineinzutappen. Irgendwie muss das Ziel ja überzeugt werden, das präparierte Musikstück zu laden, die vergiftete Webseite zu besuchen. Dieses Verfahren nennen die Experten "Social Hacking". Da geht es nicht um technische Finessen, das ist die Kunst der Manipulation von Menschen. Hackerprofis wenden sie schon länger an.
In den letzten Wochen zum Beispiel machten E-Mails die Runde, die angeblich von der GEZ stammten oder vom Internetprovider 1&1. In beiden Fällen enthielt die Mail eine unerwartete Rechnung, Details könne man sehen, wenn man den Anhang der Mail öffne. Wer darauf klickte, installierte in Wahrheit ein bösartiges Programm.
Eine besonders raffinierte Mail kam - angeblich - vom BKA selbst. Man sei beim Raubkopieren erwischt worden, hieß es darin. Eine Anzeige sei erlassen, das Dokument im Anhang möge man bitte ausdrucken und mit einer Stellungnahme versehen zurück ans BKA faxen.
Eine Falle, klar. Im Grunde wissen die meisten Internet-Nutzer mittlerweile, dass man den Anhängen in E-Mails nicht vertrauen darf, niemals - aber wenn die Post doch vom BKA stammt? Und so echt aussieht? Und weil gerade ohnehin überall die Rede von den BKA-Fahndern war, fühlte sich so mancher offenbar ziemlich ertappt. Die Finte war so erfolgreich, dass sogar das Bundeskriminalamt vor der falschen BKA-Post warnte. ANSBERT KNEIP
Von Ansbert Kneip

DER SPIEGEL 7/2007
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGEL-Verlag Rudolf Augstein GmbH & Co. KG.

Dieser Artikel ist ausschließlich für den privaten Gebrauch bestimmt. Sie dürfen diesen Artikel jedoch gerne verlinken.
Unter http://www.spiegelgruppe-nachdrucke.de können Sie einzelne Artikel für Nachdruck bzw. digitale Publikation lizenzieren.


DER SPIEGEL 7/2007
Titelbild
Abo-Angebote

Den SPIEGEL lesen oder verschenken und Vorteile sichern!

Jetzt Abo sichern
Ältere SPIEGEL-Ausgaben

Kostenloses Archiv:
Stöbern Sie im kompletten SPIEGEL-Archiv seit
1947 – bis auf die vergangenen zwölf Monate kostenlos für Sie.

Wollen Sie ältere SPIEGEL-Ausgaben bestellen?
Hier erhalten Sie Ausgaben, die älter als drei Jahre sind.

Artikel als PDF
Artikel als PDF ansehen

Hacken für jedermann

Video 01:09

Unbemannter Kampfjet X-47B US-Navy veröffentlicht Video von Testflügen

  • Video "Unbemannter Kampfjet X-47B: US-Navy veröffentlicht Video von Testflügen" Video 01:09
    Unbemannter Kampfjet X-47B: US-Navy veröffentlicht Video von Testflügen
  • Video "Riesenfisch im Video: Walhai nutzt Boot als Kratzbaum" Video 00:52
    Riesenfisch im Video: Walhai nutzt Boot als Kratzbaum
  • Video "Videokommentar zu Zschäpe-Aussage: Sie las vom Blatt ab, ohne Empathie" Video 03:48
    Videokommentar zu Zschäpe-Aussage: "Sie las vom Blatt ab, ohne Empathie"
  • Video "Steinbrücks launiger Bundestagsabschied: Das war der letzte Ton aus meinem Jagdhorn" Video 02:08
    Steinbrücks launiger Bundestagsabschied: "Das war der letzte Ton aus meinem Jagdhorn"
  • Video "9-Jährige vor Bürgermeister in Charlotte: Es ist eine Schande, dass Väter und Mütter getötet werden" Video 01:54
    9-Jährige vor Bürgermeister in Charlotte: "Es ist eine Schande, dass Väter und Mütter getötet werden"
  • Video "Pen Pineapple Apple Pen: Gaga-Video erobert das Internet" Video 01:58
    "Pen Pineapple Apple Pen": Gaga-Video erobert das Internet
  • Video "Faszinierende Animation: So will Elon Musk den Mars besiedeln" Video 03:33
    Faszinierende Animation: So will Elon Musk den Mars besiedeln
  • Video "Virales Gute-Laune-Video: Tom Hanks crasht Hochzeitsfeier" Video 01:04
    Virales Gute-Laune-Video: Tom Hanks crasht Hochzeitsfeier
  • Video "US-Amateurvideo: Sturm bläst Hausdach über Straßenkreuzung" Video 00:46
    US-Amateurvideo: Sturm bläst Hausdach über Straßenkreuzung
  • Video "Längste Meeresbrücke der Welt: 55 Kilometer über das Wasser" Video 00:43
    Längste Meeresbrücke der Welt: 55 Kilometer über das Wasser
  • Video "Duo zum Duell zur TV-Debatte: Clintons geplante Tantigkeit" Video 04:25
    "Duo zum Duell" zur TV-Debatte: Clintons geplante Tantigkeit
  • Video "Drohnenvideo: Aleppo, die zerstörte Stadt" Video 00:57
    Drohnenvideo: Aleppo, die zerstörte Stadt
  • Video "Die Lachnummer des Jahres: Nordkoreas U16-Keeper und sein Riesenbock" Video 00:54
    Die Lachnummer des Jahres: Nordkoreas U16-Keeper und sein Riesenbock
  • Video "US-Überwachungsvideo: Helikopter-Notlandung auf Straßenkreuzung" Video 00:43
    US-Überwachungsvideo: Helikopter-Notlandung auf Straßenkreuzung
  • Video "Weiße Haie vor Südafrika: Raubfische auf dem Rückzug" Video 01:24
    Weiße Haie vor Südafrika: Raubfische auf dem Rückzug